» Настройка Cisco оборудования

Drugi
Цитата:

Как можно определить устройства с Cisco IOS в сети?

Если на нем включен SNMP, то по нему.

а еще есть фирменный протокол CDP (Cisco Discovery Protocol) и даже есть клиент под винду (как обычно платный ) правда это только для локалки

Интересует как при помощи nmap или другой программы определить статус сообщества rw-ro

Такая проблема нарисовалась в удаленном офисе:

Есть киса 2801 с c2801-spservicesk9-mz.124-24.T5.bin.
Вставили в нее модуль WIC-4ESW, а он не виден, sh diag выдает следующее:

WIC/VIC/HWIC Slot 3:
Unknown WAN daughter card
WIC module not supported/disabled in this slot
Hardware Revision : 1.0
Part Number : 73-8958-01
Board Revision : D0
Deviation Number : 0-0
Fab Version : 01
PCB Serial Number : FOC12270TZA
RMA Test History : 00
RMA Number : 0-0-0-0
RMA History : 00
Top Assy. Part Number : 800-24817-01
Connector Type : 01
Base MAC Address : 001b.5421.c1c8
MAC Address block size : 20
Product (FRU) Number : WIC-4ESW
CLEI Code : IPMED00BRA
EEPROM format version 4
EEPROM contents (hex):
0x00: 04 FF 40 00 64 41 01 00 82 49 22 FE 01 42 44 30
0x10: 80 00 00 00 00 02 01 C1 8B 46 4F 43 31 32 32 37
0x20: 30 54 5A 41 03 00 81 00 00 00 00 04 00 C0 46 03
0x30: 20 00 60 F1 01 05 01 CF 06 00 1B 54 21 C1 C8 43
0x40: 00 14 CB 88 57 49 43 2D 34 45 53 57 C6 8A 49 50
0x50: 4D 45 44 30 30 42 52 41 FF FF FF FF FF FF FF FF
0x60: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
0x70: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF


Это модуль битый, судя по всему?

demon999
IMHO попробуйте в другой слот:
Смотрим тут картинку про 2801:
2801 и прочие
и это, c одного форума:

Цитата:

In the Cisco 2801 (and not 2811, 2821 …) : slot 0 and slot 2 do not support HWICs (they are recognized in slot 1 and 3).
So I would suggest to turn off your 2801 move your HWIC form slot 0 to slot 1.*

Может просто в 1-ом увидится ....

Да пробовали, да и не HWIC это, он во всех портах по идее работать должен...

Еали по доке модуль поддерживается, то IOS скорее всего менять нужно.

Поддерживается, иос последний Т-шный, да и меняли иос - не помогло.

Ну дык это может у вас такой просто:
WIC-4ESW
Дык там написано что для 1700 серии.
Ну то-есть я хочу сказать что может он не подходит для 2801 ... Может где препутали, и не тот купили/выдали.

Добавлено:

Вот тут то-же парт-нумбер:
http://www.velocityreviews.com/forums/t38596-adding-ethernet-ports-to-1720-router-with-wic-4esw.html

Они одинаковые, для всех серий.

demon999
Не пытайтесь, WIC-4ESW работает только в 17xx платформе

Да, уже понял... хотя вроде ничего не мешает вики на 2800 серии поддерживать...

Доброе время суток.
Подскажите, можно ли как-то привязать на один интерфейс 2 разных crypto map. Конфиг:


Код: crypto isakmp policy 1
encr aes 256
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 2
encr aes
hash md5
authentication pre-share
group 2
crypto isakmp key 111 address 1.1.1.1
crypto isakmp key 222 address 2.2.2.2
!
!
crypto ipsec transform-set SET1 esp-aes 256 esp-md5-hmac
crypto ipsec transform-set SET2 esp-aes esp-md5-hmac
!
crypto map MAP_1 1 ipsec-isakmp
set peer 1.1.1.1
set transform-set SET1
set pfs group2
match address 190

I_Winter_I_I_Wolf_I
а если так попробовать

Цитата:

crypto keyring my-site
pre-shared-key address 1.1.1.1 key 111
pre-shared-key address 2.2.2.2 key 222
!
crypto isakmp policy 1
encr aes 256
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 2
encr aes
hash md5
authentication pre-share
group 2
!
crypto isakmp profile my-site-1
keyring my-site
match identity address 1.1.1.1 255.255.255.255
crypto isakmp profile my-site-2
keyring my-site
match identity address 2.2.2.2 255.255.255.255
!
crypto ipsec transform-set SET1 esp-aes 256 esp-md5-hmac
crypto ipsec transform-set SET2 esp-aes esp-md5-hmac
!
crypto map my_MAP 1 ipsec-isakmp
set peer 1.1.1.1
set transform-set SET1
set isakmp-profile my-site-1
match address acl_1
!
crypto map my_MAP 2 ipsec-isakmp
set peer 2.2.2.2
set transform-set SET2
set isakmp-profile my-site-2
match address acl_2
!
interface Dialer1
crypto map my_MAP

Valery12
Благодарю за помощь!
Один из туннелей поднялся (который раньше был), а второй не хочет почему-то. Буду разбираться.

я сам так не пробовал, у меня с crypto keyring работают на одном интерфейсе DMVPN и Easy VPN
тут может быть засада с разными ipsec transform-set

Valery12
Все работает, все фазы IPSec прошли нормально на обоих туннелях. Теперь только маршрутизацию настроить осталось, чтоб все шло куда надо.
UPD
После настройки маршрутов все заработало именно так, как надо.

Еще есть вопрос:
Имеется куча строк в конфиге вида

Код: ip nat inside source static udp 1.1.1.1 5004 2.2.2.2 5004 extendable

Цитата:

range 5000-6000

это в акцесс листах
я на просторах интернета видел такое

если нужно на 192.168.1.10 пробросить порты с 6881 по 6999

ip nat pool p2p 192.168.1.10 192.168.1.10 netmask 255.255.255.0 type rotary
ip nat inside destination list 100 pool p2p
access-list 100 permit tcp any any range 6881 6999

Попробуй, может так прокатит:

Код: ip nat inside source static udp 1.1.1.1 2.2.2.2 route-map MAP extendable
access-list 101 permit udp host 1.1.1.1 range 5004 8004 any
route-map MAP permit 10
match ip address 101

I_Winter_I_I_Wolf_I
весь конфиг не видел, но многое зависит от софта и насколько лениво)
если inside и outside адреса не меняются, а хочется сократить конфиг, можно открыть полностью адрес, а порты открыть/закрыть на acl. + можно поиграться с object group.

До вчерашнего дня з цисками особо дела не имел.
Задача стоит следующая:
1. настроить Vlan, чтобы подразделения не видели друг друга - уже прочел как.
2. выпустить их в инет - каким образом ? можно ли на Циске 2960 настроит Vlan без внешнего маршрутизатора ?
3. еще нужно настроить коммутатор таким образом чтобы на определенный порт могли подключатся только определенные машини, как привязать несколько маков к одному порту коммутатора ?

по п.3 функционал port security

almunia Относительно п.2. Циска 2960 - это коммутатор. Поэтому без маршрутизатора - никак. Если вам, конечно, провайдер не выдает по эзернету сетку класса С, и всем компам можно присвоить белые адреса.

Спасибо за ответы, буду разбираться с port security.

Кто-нибудь сталкивался с такой проблемой?..
Суть такова:
Есть Cisco Catalyst 2960 48(PoE), все настроено и работает как надо, но в один прекрасный момент у кого-то на компьютере "пропадает интернет", физически связь есть, все лампочки везде горят но пакеты никуда не бегут, даже в пределах этой циски.
Перезагрузка циски, включение выключение порта, перевод порта из одного Vlan'a в другой никакого эффекта не оказывает.
На компьютере установлен статический IP, смена IPишника на другой не приводит ни к каким результатам(пакеты бегать никуда не начинают), однако если изменить MAC-адресс на сетевой карте этого компьютера(при этом не важно какой IP-адресс установлен) связь тут же появляется, пакеты начинают шустро бегать куда хочется.
Во время всех манипуляций порт на циске не меняется.
Каких либо ошибок в логах замечено не было.
Связи с какими либо внешними явлениями не замечено.
Происходит все это довольно редко, и на разных компьютерах.
После смены mac адреса на этих компьютерах все начинает работать без каких либо дополнительных действий на стороне циски.
Все продолжает работать довольно долго(в пределах 8-10 месяцев), потом происходит такая же ситуация, после смены мака, в том числе и на старый, на котором до этого отказывалась работать, все начинает работать опять нормально.

В какую сторону копать?

ps: как влияет смена портов на циске пока проверить не удалось.

TORR
Что-то мне это напоминает работу port-security
А может прошивка глючная ... У нас на подобном все работает без глюков, тфу-тфу-тфу:

Код:
Switch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 50 WS-C2960-48TT-L 12.2(55)SE1 C2960-LANBASEK9-M

TORR Было такое, не на циске, но на коммутаторе тоже довольно почтенной фирмы. С какого-то перепугу он занес все маки, которые поступали с другого коммутатора, на адрес порта, куда даже и патчкорд не был вставлен. В результате картина тем же маслом, что твоя. Меняем сетевуху на компе или меняем ее мак-адрес - комп начинает работать.
Лечил я это дело ручной чисткой базы МАК-адресов, после этого все заработало.
Так что когда будешь иметь подобный фефект, посмотри по базе МАКов, на каком порту он числится.

TORR

Цитата:

В какую сторону копать?

Покажите вашу конфигурацию оборудования.
Спасибо.

TORR
ничего просто так не бывает, если только не кривой софт.
обновите по возможности.
если такое опять произойдет, начните траблшутить. в результате можете докопаться до очень интересных вещей.

Кто как борется с пропажей ntp в новых иосах 857 циски?

Зачемто убрали поддержку синхоронизации времени даты, добавили

clock save interval
clock initialize nvram

но даже если это всё сконфигурить то после того как циска потеряет питание (ребутнут кнопкой) дата слетает 8-(

Как обойти данный глюк или какая процедура конфигурации?